Revisionsstrategie nach DORA – Pflicht oder Kür?

Warum eine Revisionsstrategie nach DORA (EU) 2022/2554 unabdingbar ist?

Die EU-Verordnung Digital Operational Resilience Act (DORA) ist seit 17. Januar 2025 unmittelbar anwendbar und regelt die digitale, operative Resilienz von:

• Finanzunternehmen
• Versicherungs- und Zahlungsinstituten
• Investmentfirmen
• IKT-Dienstleistern sowie kritischen Drittanbietern

Neben Anforderungen an Informationssicherheit, IKT-Risikomanagement, Meldewesen und IKT-Testverfahren stellt DORA auch präzise Vorgaben an die Interne Revision – insbesondere in Form einer schriftlich dokumentierten, risikoorientierten Revisionsstrategie.

Diese Strategie ist kein optionales Element, sondern bildet einen essenziellen Bestandteil der Governance jedes DORA-pflichtigen Instituts.

Was bedeutet Revisionsstrategie nach DORA?

Die Revisionsstrategie gemäß DORA ist ein strukturiertes, methodisch fundiertes Rahmenwerk zur Planung, Durchführung und Bewertung von IKT-bezogenen Prüfungen durch die Interne Revision. Sie definiert, in welcher Frequenz, mit welchem Umfang und nach welchen Prüfstandards kontrolliert wird – insbesondere in Bezug auf:

• IKT-Infrastruktur und Cloud-Services
• Dienstleistermanagement nach Art. 28 bis 30 DORA
• IT-Governance sowie Konzern-/Unternehmens-Sicherheitsrichtlinien
• Incident-Management und Business-Continuity-Management (BCM)
• Implementierung der technischen Regulierungsstandards (RTS)

Revisionsstrategie in der DORA-Gesetzgebung

Artikel 6 DORA – Interne Kontrollfunktionen

„Einrichtungen richten interne Kontrollmechanismen, einschließlich einer unabhängigen Internen Revision, ein, die regelmäßig die Angemessenheit des IKT-Risikomanagement-Rahmens bewertet.“

➡️ Die Revision ist also verpflichtet, IKT-Themen regelmäßig, unabhängig und strukturiert zu prüfen.

Delegierte Verordnung (EU) 2024/1774 – Artikel 3 Abs. 3 lit. b und c

b) „Ein risikobasierter Revisionsplan für IKT-Prüfungen auf Grundlage der IKT-Risikobewertung“

c) „Methodik für IKT-Prüfungen: Planung, Umfang, Häufigkeit, Berichterstattung“

➡️ Fazit: Ohne Revisionsstrategie keine DORA-Compliance.

Was muss eine DORA-konforme Revisionsstrategie enthalten?

1. IKT-Revisionsplan

• Risikobasierte Themenpriorisierung
• Prüfungsjahresplanung (turnusmäßig & ad hoc)
• Berücksichtigung kritischer Systeme, externer Dienstleister, Cloud-Risiken

2. Revisionsmethodik

• Standards wie DIIR Nr. 3, IIA, IDW PS 983
• Prüfungsarten: Systemprüfung, Prozessprüfung, Nachschau, Sonderprüfung
• Kriterien für Umfang, Tiefe und Materialitätsgrenzen

3. Berichtswesen & Eskalation

• Direkte Berichtswege zur Geschäftsleitung oder zum Prüfungsausschuss
• Schwellenwerte für Pflicht-Eskalation bei kritischen Findings
• Follow-up-Mechanismen und Mängelbeseitigungsverfolgung

4. Qualitätssicherung (Internal Audit Quality)

• Dokumentationsstandards, Archivierung, Revisionsnachweise
• Internes & externes Quality Assessment (alle 5 Jahre verpflichtend)

5. Ressourcenstrategie & externe Prüfkompetenz (Co-Sourcing)

• Kompetenzabdeckung der IKT-Risiken (z. B. Cloud, DORA-Tests, API-Sicherheit)
• Einbindung externer Fachexpert:innen bei Spezialthemen
• Steuerung gemäß Art. 28–30 DORA

Vorteile einer Revisionsstrategie nach DORA

• Transparenz & Prüfungsfähigkeit gegenüber Aufsicht, Abschlussprüfern & Vorstand
• Sicherstellung der Unabhängigkeit der Revisionsfunktion
• Verzahnung mit Risikomanagement und Governance
• Revisionsarchitektur als Frühwarnsystem für IKT-Vorfälle

Co-Sourcing: Ein Schlüsselelement moderner Revisionsstrategien

Nicht jedes Institut verfügt intern über Spezialwissen für DORA-relevante Prüfgebiete wie:

• Distributed-Ledger-Technologie (DLT)
• Advanced Penetration Testing
• Kritische API- und Cloud-Infrastrukturen

Co-Sourcing ermöglicht eine punktuelle Ergänzung durch externe Fachexperten – unter Beibehaltung der Gesamtverantwortung beim Institut. Wichtig ist:

• vertragliche Einbindung (inkl. DSGVO / Auftragsverarbeitung)
• Steuerbarkeit durch das Institut (inkl. Eskalationsregeln)
• Integration in Revisionsplan und Prüfberichtswesen

Risiko bei fehlender Revisionsstrategie

• Beanstandungen durch BaFin / EZB
• Verlust der aufsichtlichen Zuverlässigkeit
• Verstoß gegen Art. 6, 15, 28 DORA + RTS (Verordnung 2024/1774)
• Reputationsrisiken bei öffentlich werdenden Vorfällen

Praxisempfehlung: So starten Sie richtig

1. Audit-Gap-Analyse: Revisionshandbuch und Prüfplan gegen DORA prüfen
2. IKT-Risiko-Inventur: als Basis für risikoorientierten Revisionsplan
3. Festlegung von Prüfzyklen und EskalationspfadenDokumentation nach DIIR / IDW / IIA
4. Einbindung von Experten bei Fachthemen (Co-Sourcing)

Häufige Fragen zur Revisionsstrategie nach DORA

Ist eine Revisionsstrategie gesetzlich vorgeschrieben?

Ja. DORA Art. 6 und Delegierte Verordnung (EU) 2024/1774 schreiben einen risikobasierten IKT-Audit-Plan und dessen Methodik zwingend vor.

Was ist der Unterschied zu einem IKT-Risikomanagementplan?

Der IKT-Risikomanagementplan definiert Maßnahmen. Die Revisionsstrategie prüft unabhängig deren Umsetzung, Wirksamkeit und Governance-Einbindung.

Kann die Revision vollständig ausgelagert werden?

Ja – mit Outsourcing nach § 25b KWG / DORA Art. 28–30. Es gelten strenge Anforderungen an Steuerung, Kontrolle und Prüfung der Prüfer:innen.

Ist Co-Sourcing auch für kleine Häuser sinnvoll?

Ja – insbesondere wenn interne IKT-Kompetenz fehlt oder regulatorische Anforderungen zu komplex werden.

Wer hilft beim Aufbau oder bei der Prüfung der Revisionsstrategie?

Fachspezialisierte Anbieter wie audit-solutions.de unterstützen bei Planung, Umsetzung, Co-Sourcing und Qualitätssicherung.